隐私政策
本文档为方便阅读提供的中文译本。如中英文版本之间存在任何不一致,以英文版本为准。
最后更新时间:2026 年 5 月
本《隐私政策》说明 Vialode("我们"、"我方")在您使用本公司平台、API、控制台及相关服务("服务")时如何收集、使用、存储与保护个人数据。本政策适用于本服务的所有用户,包括本公司网站的访问者。
我们承诺遵守马来西亚《2010 年个人资料保护法令》(PDPA 2010),并将其作为本公司主要的数据保护框架。对于位于欧洲经济区(EEA)、英国或其他适用数据保护法律之司法管辖区的用户,下文第 14 条另行规定补充条款。
1. 数据控制者
Vialode 是通过本服务收集的个人数据的数据控制者。如有数据保护相关咨询,请联系:
- 数据保护官(DPO):[email protected]
- 一般隐私咨询:[email protected]
- 注册地址:马来西亚(完整地址可应要求提供)
2. 我们收集的个人数据
我们收集以下类别的个人数据:
2.1 您直接提供的数据
- 账户信息:当您注册本服务或加入候补名单时,所提供的电子邮件地址、公司名称、职位/岗位。
- 支付信息:由我们的第三方支付处理商处理的账单详情。我们不在自有系统中存储完整的支付卡号。
- 通讯内容:您在联系本公司支持团队或参与调查时所提供的信息。
2.2 您使用本服务过程中产生的数据
- 使用数据:API 调用记录、已处理的单据、所使用的功能、时间戳、错误日志。
- 技术数据:通过服务器日志和分析工具采集的 IP 地址、浏览器类型、设备信息、来源 URL。
2.3 客户数据(上传的单据)
- 贸易单据:您上传以供处理的单据(如提单、商业发票、装箱单)。此类单据可能包含第三方个人数据,例如发货人、收货人、货运代理及其他相关方的姓名、地址和联系方式。
- 提取的数据:本服务从您上传的单据中生成的结构化输出。
3. 处理目的与法律依据
我们出于以下目的收集和使用您的个人数据:
| 处理目的 | 法律依据(PDPA) |
|---|---|
| 提供与运营本服务 | 履行合同所必需 |
| 处理上传单据并返回提取数据 | 履行合同所必需 |
| 追踪用量以进行计费 | 履行合同所必需 |
| 发送产品更新与安全通知 | 合法利益 / 同意 |
| 发送营销推广信息 | 同意(主动选择加入) |
| 回应支持请求 | 履行合同所必需 |
| 改进本服务(聚合分析) | 合法利益 |
| 履行法定义务 | 法律要求 |
| 防范欺诈并保障安全 | 合法利益 |
4. 客户单据中的第三方个人数据
贸易单据通常包含第三方个人数据(例如发货人姓名与地址、收货人详情、通知方信息)。如果您上传包含第三方个人数据的单据:
- 您声明并保证您有合法权限处理并与我们共享此类数据,且该等共享行为符合所有适用的数据保护法律。
- 对于您客户数据中所含的任何第三方个人数据,您是其数据控制者。我们仅代您并按照您的指示处理此类数据(即为提供本服务之目的)。
- 对于此类第三方就其个人数据向您提出的任何数据主体权利请求,由您负责履行。
5. 数据共享与披露
我们不会出售您的个人数据。我们仅在以下情形中共享个人数据:
- AI 处理服务提供商:单据内容会传输至第三方 AI 服务提供商(目前位于美国)以进行单据提取与处理。仅单据内容会被共享;您的账户信息绝不会传输至 AI 服务提供商。跨境传输详情参见第 7 条。
- 云基础设施服务提供商:我们使用企业级云服务,其服务器位于亚太地区,用于托管、存储与计算。跨境传输详情参见第 7 条。
- 支付处理商:账单信息由我们的第三方支付服务提供商处理。
- 分析服务提供商:我们使用 Microsoft Clarity(由 Microsoft Corporation 运营)来了解访问者与本公司网站的交互方式。Clarity 会收集访问者行为数据,包括页面浏览、鼠标移动轨迹、滚动行为、点击以及聚合化的会话回放。该等数据由 Microsoft 在美国的基础设施上处理。我们不会与任何广告网络共享个人数据。跨境传输详情参见第 7 条,Cookie 详情参见第 10 条。
- 法律合规:如法律、法规、法律程序或政府要求所必需,我们可能披露个人数据。
- 业务变更:在合并、收购或资产出售情形下,个人数据可能转移至承继实体。在您的数据适用不同隐私政策之前,我们将事先通知您。
6. 数据存储与安全
- 主要存储位置:亚太地区。鉴于目前尚无主要超大规模云服务商在马来西亚境内运营数据中心,您的数据存储于马来西亚境外,并受第 7 条所述的跨境传输保障措施约束。
- 静态加密:所有存储数据均采用 AES-256 加密。
- 传输加密:您的系统与我方系统之间传输的所有数据均通过 TLS 1.2 或更高版本进行保护。
- 租户隔离:客户数据按组织进行逻辑隔离。访问控制和数据库级策略可防止跨租户的数据访问。
- 访问控制:对个人数据的访问仅限于按"必要知悉"原则授权的人员。
有关我们安全实践的更多详情,请参阅安全页面。
7. 跨境数据传输
Vialode 是一家马来西亚公司。在提供本服务的过程中,个人数据会被传输至马来西亚境外的司法管辖区并存储于该等地区:
- 云托管:鉴于目前尚无主要超大规模云服务商在马来西亚境内运营数据中心,您的数据存储于位于亚太地区的企业级云基础设施服务器中。
- AI 处理:单据内容会传输至位于美国的 AI 服务提供商进行处理。我们通过适当的合同保障措施确保此类传输的安全。
- 支持与运营:本公司团队在提供支持过程中,可能从马来西亚境外的地点访问数据。
- 网站分析:访问者的行为数据(页面浏览、鼠标移动轨迹、滚动行为、点击、聚合化的会话回放)会被传输至 Microsoft Clarity 在美国的基础设施进行分析。Microsoft 作为我方的数据处理者,按其标准服务条款处理该等数据。
根据 PDPA 2010 第 129 条,我们确保任何位于马来西亚境外的个人数据接收方所提供的保护标准至少与 PDPA 2010 所提供的保护相当,相关保障通过合同安排以及对接收方数据保护实践的尽职调查予以实现。
8. 数据保留
- 账户数据:在您的账户有效期内保留,并在账户终止后额外保留 30 天,以便您导出数据。
- 上传的单据及提取数据:默认保留 90 天。您可随时申请提前删除。
- 候补名单数据:电子邮件、公司名称及职位信息将一直保留,直至您完成入驻或提出删除请求。
- 使用与计费记录:根据适用的税务与会计法律要求,最长保留 7 年。
- 服务器日志:出于安全监控与故障排查目的,最长保留 90 天。
在适用的保留期届满后,个人数据将被永久删除或进行不可逆的匿名化处理。
9. AI 与自动化处理
本服务使用人工智能和机器学习技术来处理单据并提取结构化数据。您应当知悉:
- 单据内容会被传输至第三方 AI 服务提供商进行处理。
- 不使用您的数据进行训练:未经您明确事先的书面同意,我们不会使用您的客户数据训练 AI 模型。
- AI 生成的输出可能存在错误。在依赖提取的数据之前,您有责任自行核实其准确性。
- 我们不会基于对您单据的 AI 处理结果,对个人作出具有法律或重大影响的完全自动化决定。
10. Cookie 与追踪
本公司网站使用:
- 必要 Cookie:网站和本服务正常运行所必需(例如会话管理、身份验证),无法禁用。
- 分析 Cookie:Microsoft Clarity 会设置 Cookie(包括
_clck与_clsk),用于追踪访问者行为并重建会话交互以进行分析。如适用法律有要求(例如位于 EEA/英国的访问者,参见第 14 条),仅在获得您同意后才会设置。
我们不使用广告 Cookie,也不会与任何广告网络共享数据。
11. 您的权利
根据 PDPA 2010 及其他适用的数据保护法律,您享有以下权利:
- 访问权:申请获取我们持有的关于您的个人数据副本。
- 更正权:申请更正不准确或不完整的个人数据。
- 撤回同意权:在以同意为法律依据的处理活动中(例如营销推广),撤回您的同意。撤回不影响撤回前基于同意所进行处理的合法性。
- 删除权:申请删除您的个人数据,但受我方保留特定记录的法律义务约束。
- 数据可携权:通过 API 导出您的数据,或申请获取机器可读的副本。
如需行使上述任一权利,请通过 [email protected] 与我们联系。我们将依据 PDPA 2010 的要求,在 21 日内回应访问请求,在 14 日内回应更正请求。
12. 数据泄露通知
如果发生导致或可能导致个人遭受重大损害的数据泄露事件:
- 在评估认定该事件属于应通知的泄露事件后,我们将在 PDPA 2010(经修订)规定的时限内通知马来西亚个人资料保护局(JPDP)。
- 我们将在合理可行的情况下尽快通知受影响的个人。
- 对于欧盟/欧洲经济区用户,我们将依据 GDPR 的要求,在 72 小时内通知相关监管机构。
13. 未成年人隐私
本服务面向商业用途,并非面向 18 周岁以下的个人。我们不会在知情的情况下收集未成年人的个人数据。如果我们发现已收集了未成年人的个人数据,将尽快采取措施删除该等数据。
14. 欧盟/欧洲经济区与英国用户的额外条款
如果您位于欧洲经济区或英国,以下补充条款将适用:
- 处理的法律依据:我们基于以下依据处理您的个人数据:(a) 履行合同所必需(提供本服务);(b) 合法利益(改进本服务、安全保障、防范欺诈);以及 (c) 同意(营销推广)。
- 额外权利:您有权:限制处理、对基于合法利益的处理提出反对、向您所在地的监管机构提起投诉,以及不受具有法律效力的自动化决策约束。
- 数据传输:个人数据向欧洲经济区/英国境外的传输,受欧盟委员会批准的标准合同条款(SCCs)或其他合法的传输机制保护。
- 数据处理协议(DPA):对于依据 GDPR 需要 DPA 的客户,我们可应要求提供 DPA。请联系 [email protected]。
15. "Do Not Track" 信号
由于"Do Not Track"(DNT)目前尚无行业标准规范,本公司网站当前不响应"Do Not Track"浏览器信号。我们不会在第三方网站间追踪用户。
16. 本政策的变更
我们可能不时更新本《隐私政策》。重大变更将至少在生效前 30 天通过电子邮件或产品内通知告知您。本页顶部的"最后更新时间"反映最近一次的修订日期。变更生效后您继续使用本服务,即视为您接受更新后的政策。
17. 联系我们
如对本《隐私政策》或您的个人数据有任何问题、疑虑或请求:
- 数据保护官(DPO):[email protected]
- 一般隐私咨询:[email protected]
如果您对我方的回应不满意,可向马来西亚个人资料保护局(JPDP)提起投诉,网址为 www.pdp.gov.my。